Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Aplikacja Actual, będąca otwartoźródłowym narzędziem do zarządzania finansami osobistymi, w wersji desktopowej dla macOS 25.x (opartej na Electron 39.2.7) nie wyłącza zmiennej ELECTRON_RUN_AS_NODE. To pozwala atakującemu na uruchomienie binarnego pliku Actual.app z tą zmienną, co przekształca aplikację w REPL Node.js zdolne do wykonywania dowolnego kodu.
Wersje sync-server Actual Budget do 26.4.0 ujawniają pełną konfigurację OpenID Connect, w tym `client_secret` OAuth2, każdemu, kto zna hasło bootstrap. Endpoint nie wymaga uwierzytelnienia i nie ma limitu liczby prób, co umożliwia atak brute-force.
W Parse Server przed wersjami 8.6.80 i 9.9.1-alpha.6 występowała podatność, która pozwalała na odczytanie członkostwa w polu relacyjnym za pomocą operatora $relatedTo, nawet gdy pole to było ukryte dla klienta. Umożliwiało to nieautoryzowanym klientom enumerację obiektów powiązanych z chronioną relacją.
Parse Server w wersjach od 9.8.0 do przed 9.9.1-alpha.5 ma lukę, która pozwala na ujawnienie wrażliwych danych użytkowników przez punkty końcowe /login i /verifyPassword, gdy włączono MFA i zablokowano dostęp do klasy _User. W przypadku odmowy dostępu do danych użytkownika, serwer zwraca surowe dane z bazy, co może prowadzić do ujawnienia tajnych informacji, takich jak sekrety MFA i kody odzyskiwania.
Platforma Naxclow udostępnia punkt rejestracji, który akceptuje podpisane żądania zawierające prefiks wsadowy oraz dowolny identyfikator konta dostarczony przez wywołującego, bez weryfikacji relacji własności. Każde wywołanie generuje nowy sekwencyjny identyfikator urządzenia i zwraca aktualną wartość licznika wsadowego, co umożliwia precyzyjne enumerowanie aktywnej przestrzeni urządzeń.
Podczas asocjacji WiFi, oprogramowanie urządzenia Naxclow wyświetla SSID, PSK oraz negocjowane klucze WPA w postaci niezaszyfrowanej na wystawionym konsoli UART. Umożliwia to atakującemu z fizycznym dostępem do urządzenia odzyskanie danych uwierzytelniających WiFi oraz przeprowadzenie ataków na oprogramowanie.
Parse Server w wersjach od 9.8.0 do przed 9.9.1-alpha.3 ma lukę, która pozwala na obejście listy dozwolonych tras API. Zewnętrzni klienci mogą wysyłać sub-zapytania do tras, które nie zostały uwzględnione w tej liście, co stwarza ryzyko nieautoryzowanego dostępu.
Parse Server przed wersjami 8.6.78 i 9.9.1-alpha.2 ujawnia metadane schematu przez komunikaty o błędach walidacji GraphQL, co pozwala nieautoryzowanym użytkownikom na rekonstrukcję nazw klas i pól.
Solidtime to aplikacja do śledzenia czasu, która przed wersją 0.12.2 miała niewłaściwie skonfigurowane uprawnienia do API zaproszeń i członków. Pracownicy organizacji mogli uzyskać dostęp do adresów e-mail zaproszeń i członków, mimo że API zabraniało im tego dostępu.
Identyfikatory urządzeń Naxclow wykorzystują stałe prefiksy produkcyjne połączone z sekwencyjnymi licznikami, co prowadzi do przewidywalnej i enumerowalnej przestrzeni identyfikatorów. Dodatkowo, platforma udostępnia punkt końcowy, który ujawnia aktualny najwyższy identyfikator, co umożliwia enumerację aktywnej floty.
W Moby, w wersjach przed 2.0.0-beta.14 oraz w Docker Engine przed 29.5.1, występuje warunkowe wyścigu podczas konfiguracji montowania docker cp, co pozwala złośliwemu kontenerowi na tworzenie pustych plików lub katalogów w dowolnych absolutnych ścieżkach na systemie plików hosta.
Camaleon CMS w wersji 2.9.2 zawiera lukę w autoryzacji w punkcie końcowym autosave szkiców administratora. Użytkownik z niskimi uprawnieniami może wysłać dowolny post_id do POST /admin/post_type/<POST_TYPE_ID>/drafts i nadpisać szkic związany z postem innego użytkownika.
Typo-tolerancyjny silnik wyszukiwania Typesense ma problem z izolacją pamięci podręcznej, który dotyczy zapytań wyszukiwania korzystających z pamięci podręcznej wyników po stronie serwera oraz kluczy API Scoped Search. W wyniku określonego porządku zapytań, wyniki z pamięci podręcznej mogą być ponownie używane w zapytaniach z różnymi ograniczeniami kluczy API, co prowadzi do niezamierzonego ujawnienia wyników wyszukiwania.
W NanaZip, od wersji 3.0.1000.0 do przed wersją 6.0.1698.0, występuje podatność na odczyt poza granicami sterty w parserze obrazu vbmeta Android Verified Boot (AVB). Przepełnienie 32-bitowej liczby całkowitej bez znaku w sprawdzeniu granic pozwala na ominięcie walidacji przez pole salt_len kontrolowane przez atakującego.
Podatność w MariaDB pozwala na wykonanie zapytań SELECT ... INTO OUTFILE i SELECT ... INTO DUMPFILE bez wymaganego uprawnienia FILE, jeśli klauzula FROM zawiera wyłącznie podzapytania. Problem dotyczy wersji od 10.6.1 do 10.6.26, 10.11.1 do 10.11.17, 11.4.1 do 11.4.11, 11.8.1 do 11.8.7 oraz 12.3.1.
Serwer MariaDB w wersjach od 10.6.1 do przed 10.6.26, 10.11.1 do przed 10.11.17, 11.4.1 do przed 11.4.11, 11.8.1 do przed 11.8.7 oraz 12.3.1 miał problem z brakiem weryfikacji ścieżek zawierających /../ podczas rozpakowywania archiwum. Specjalnie przygotowane archiwum mogło spowodować utworzenie plików poza docelowym katalogiem.
W wersjach MariaDB od 11.4.1 do przed 11.4.11, 11.8.1 do przed 11.8.7 oraz 12.3.1, użytkownik z dostępem EXECUTE do procedury składowanej mógł zobaczyć definicję tej procedury, nawet bez uprawnienia SHOW CREATE ROUTINE. Problem został naprawiony w wersjach 11.4.11, 11.8.7 i 12.3.2.
Wersje Mattermost 11.6.x do 11.6.1, 11.5.x do 11.5.4 oraz 10.11.x do 10.11.15 nie sanitizują odpowiedzi API zdalnego klastra podczas operacji PATCH. Umożliwia to uwierzytelnionym użytkownikom z uprawnieniem {{manage_secure_connections}} uzyskanie tokenów uwierzytelniających zdalnego klastra poprzez żądanie PATCH do punktu końcowego zdalnego klastra.
Wersje Mattermost 11.6.x do 11.6.1, 11.5.x do 11.5.4 oraz 10.11.x do 10.11.16 nie wymagają uprawnień na poziomie systemu przy łatanie chronionych domyślnych ról systemowych. Umożliwia to uwierzytelnionym użytkownikom z delegowanymi uprawnieniami do zarządzania użytkownikami eskalację uprawnień poprzez modyfikację uprawnień wbudowanych ról za pomocą API łatania ról.
Wersje Mattermost 11.6.x do 11.6.1, 11.5.x do 11.5.4 oraz 10.11.x do 10.11.16 nie egzekwują odpowiednich uprawnień przy tworzeniu zespołów, co pozwala uwierzytelnionym użytkownikom z uprawnieniem PermissionCreateTeam, ale bez PermissionInviteUser, na modyfikację ustawień zespołu dotyczących zaproszeń.

